Ratusan Hotel Jadi Korban Penipuan Akun Google Bisnis, Masyarakat Diimbau Waspada
Guna menjamin keamanan reservasi, masyarakat diharapkan memesan kamar melalui situs resmi hotel atau agen travel daring.
JAKARTA, KOMPAS — Perhimpunan Hotel dan Restoran Indonesia mengumumkan adanya pemalsuan data elektronik perhotelan pada banyak profil akun bisnis anggota mereka di Google. Mereka mewanti-wanti masyarakat untuk tidak mengirimkan uang ke rekening hotel atas nama pribadi. Kasus pemalsuan serupa ditengarai tak hanya terjadi di sektor perhotelan, tetapi juga bisnis yang lain.
Pemalsuan data profile akun bisnis di Google atau Google Business Profileitu terjadi terhadap ratusan hotel anggota Perhimpunan Hotel dan Restoran Indonesia (PHRI). Peristiwa ini tidak hanya terjadi di Indonesia, tetapi juga di Singapura.
Baca juga: Dugaan Peretasan Data ASN Diinvestigasi, BKN Imbau Pengguna Layanan Perbarui ”Password”
Selama ini, akun bisnis hotel berada pada platform terbuka yang bisa diakses siapa saja dan belum ada verifikasi. Alhasil, celah ini dimanfaatkan pelaku untuk mengubah data akun bisnis guna menjebak korban.
”Ini yang terjadi kemarin. Pihak-pihak tertentu tersebut melakukan perubahan menyangkut nomor kontak, nomor telepon, kemudian menjadi semacam phishing,” ujar Ketua PHRI Hariyadi Sukamdani, di Jakarta, Senin (12/8/2024) malam.
Pelaku tak hanya mengubah nomor telepon hotel, tetapi juga titik lokasi hotel. Sebelumnya, Hariyadi melanjutkan, isu ini pernah terjadi pula di dunia perbankan.
Ketika mencari rujukan hotel melalui mesin pencari Google, konsumen akan menemukan sejumlah informasi, seperti foto, nomor telepon, alamat, dan ulasan. Modus pelaku, nomor kontak serta alamat yang menjadi rujukan akan diubah sehingga konsumen seolah menghubungi pihak hotel.
Sebaliknya, kedua informasi penting yang telah diubah itu akan menyambungkan kepada pelaku. Kemudian, pelaku akan mengarahkan transaksi via platform Whatsapp (WA) dengan nomor rekening atas nama pribadi ketika konsumen berminat untuk memesan kamar hotel. Alih-alih pemesanan berhasil, uang tersebut justru akan masuk ke rekening milik pribadi.
Nomor rekening hotel resmi hanya atas nama perusahaan, enggak mungkin nama pribadi.
”Hotel terkena semua, tidak mengenal (jumlah) bintang, enggak kenal lokasi. Sepintas laporan masuk, tersebar. Jadi, tak ada (perbedaan) apakah itu hotel berbintang atau bukan, semua kena,” ujar Hariyadi.
Hingga Senin, data PHRI menunjukkan, penipuan itu telah berimbas pada 156 hotel di Jawa Tengah, disusul Jawa Timur (92), Sumatera Barat (60), Sulawesi Tengah (18), dan Lampung (8). Provinsi lain juga terdampak, hanya jumlah hotel yang terkena belum dilaporkan anggota PHRI setempat.
Perwakilan PHRI Jawa Tengah, Yantie Yulianti, mengatakan, dari 156 hotel yang terdampak, ada 10 hotel yang melaporkan bahwa konsumen telah mengirimkan sejumlah uang. Meski jumlah kerugian dinilai tak besar, kejahatan ini telah memakan korban.
”(Setelah dicek) itu rekening Bank Negara Indonesia atau BNI. Asal rekening dari Nusa Tenggara Timur,” kata Yantie.
Ia mengatakan, rerata para tamu yang menghubungi nomor dari akun bisnis akan menerima pesan singkat dari pelaku melalui WA. Ia meminta tamu sekaligus korban untuk segera melakukan pembayaran melalui nomor rekening yang telah ditunjuk terkait pemesanan kamar. Tamu yang terjebak akhirnya mengirimkan uang ke nomor rekening tersebut.
Imbauan bagi masyarakat
Google Business Profileatau Google Profil Bisnis merupakan layanan terbuka dan gratis. Verifikasi menjadi tindakan penting dan perlu dilakukan sejak awal.
Hariyadi mengemukakan, saat pemilik akun tak melakukan verifikasi, data-datanya dapat diubah oleh siapa pun. Ia mengakui, sebagian anggota PHRI tak begitu menyadari pentingnya verifikasi sebelum peristiwa itu terjadi.
Salah satu solusi mengantisipasi hal itu adalah segera memverifikasi akun melalui Google. Proses verifikasi perlu memenuhi permintaan sejumlah data, seperti rekening bisnis, video lapangan, serta narahubung yang berwenang melakukan pengubahan data. Apabila telah melakukan verifikasi, Google akan mengunci data tersebut sehingga tak bisa diubah sembarang orang.
Sembari menanti verifikasi berhasil, Hariyadi mengimbau anggotanya untuk mengecek akun bisnisnya secara berkala tiap 30 menit. Konsumen juga diimbau untuk menghubungi kanal resmi hotel yang bersangkutan. Nomor rekening resmi perlu dikonfirmasi pada kanal resmi hotel sebelum melakukan pembayaran.
”Nomor rekening hotel resmi hanya atas nama perusahaan, enggak mungkin nama pribadi,” kata Hariyadi.
Baca juga: Cegah Peretasan Berulang, Presiden Minta Semua Data Nasional Direkam Cadang
Beragam cara pengumuman serta peringatan perihal kasus ini juga disebarkan melalui akun media sosial tiap hotel. Harapannya, masyarakat dapat lebih sadar dan berhati-hati dalam bertransaksi.
Masyarakat juga dapat memesan kamar hotel melalui agen perjalanan daring atau online travel agent (OTA). Perubahan informasi pada akun Google hotel tak berpengaruh pada pelayanan di OTA.
Terkait kasus ini, PHRI telah menghubungi pihak Google. Namun, Google berdalih bahwa data pada akun bisnis bersifat terbuka dan gratis. Pihaknya tak dapat memberikan bantuan atau asistensi khusus guna menangani masalah ini.
Perhimpunan ini juga akan segera melapor kepada kepolisian, dari pusat hingga daerah, sesuai wilayahnya masing-masing. Mereka berharap ada penyelidikan terkait kasus ini.
Upaya wajib
Kasus serupa ditengarai tidak hanya menimpa sektor perhotelan, tetapi juga perbankan, pertokoan, kos, serta tempat berolahraga. Kasus-kasus serupa banyak dialami masyarakat hingga viral di lini masa X.
Direktur Eksekutif Lembaga Studi Advokasi dan Masyarakat (ELSAM) Wahyudi Djafar mengatakan, isu-isu ini menunjukkan desain keamanan Google Business Profile yang bermasalah sehingga memudahkan orang lain mengambil alih akun yang dikelola suatu perusahaan. Akibatnya, orang lain mudah mengklaim bisnis itu miliknya dan melakukan proses pengeditan pada sistem tersebut.
”Mestinya ada perbaikan di sistem level keamanan untuk menentukan proses verifikasi bahwa betul yang mengedit adalah owner atau pengelola bisnis tersebut. Ini yang tidak kemudian semata-mata sangat terbuka seperti sekarang,” tutur Wahyudi.
Selama ini, Google Business Profileterkesan hanya memberi informasi yang sifatnya terbuka, antara lain alamat, jam operasional, dan ulasan. Ada info yang sangat berkaitan dengan integritas bisnis, seperti nomor telepon dan nomor rekening.
”Hal itu justru merugikan konsumen jika peluang-peluang itu dimungkinkan diambil alih pihak lain yang bukan pemilik,” kata Wahyudi.
Baca juga: Pusat Data Nasional Terganggu, Apa yang Sebenarnya Terjadi?
Mengacu pada Undang-Undang (UU) Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE), penipuan-penipuan itu masuk dalam tindak pidana karena melanggar sedikitnya dua pasal. Pertama, Pasal 30 yang menjerat orang dengan sengaja dan tanpa hak mengakses komputer atau sistem elektronik orang lain dengan cara apa pun. Kedua, Pasal 32 mengacu pada tiap orang dengan sengaja dan tanpa hak melakukan cara apa pun untuk mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu informasi elektronik milik orang lain.
”Apabila terjadi rentetan kasus, tak hanya terjadi pada satu kasus. Penting bagi aparat penegak hukum melakukan proses penyelidikan dan penyidikan, apalagi jika merugikan masyarakat dan sudah ada kerugian,” tutur Wahyudi.
Laporan dari pihak pengelola bisnis, seperti hotel dan perbankan yang dapat diwakili asosiasi dapat mendorong kepolisian memulai penyelidikan dan identifikasi. Hal ini bisa mengetahui motif di balik serangan ini, apakah dilakukan sindikat, persaingan bisnis, atau hanya sekadar iseng.
Selain pelaporan, pelaku bisnis diharapkan dapat mengubah sistem keamanan guna memastikan data yang diberikan sahih. Langkah-langkah keamanan yang disediakan Google harus diterapkan, seperti verifikasi dua langkah.
Penting juga meningkatkan kapasitas literasi dari pengelola bisnis bagi seluruh karyawan secara internal. Mereka perlu memahami baik langkah-langkah pengamanan siber, menjaga data dan informasi, serta menerapkan standar perlindungan data pribadi.
”Instrumen teknologi dipahami untuk optimasi bisnis mereka. Namun, jangan sampai mereka hanya mengejar keuntungan, tetapi memahami optimasi bisa dilakukan dengan sistem pengamanan ketat. Bukan sebaliknya, aspek perlindungan data, informasi justru tak dipahami,” tutur Wahyudi.
Pengelola platform, dalam konteks ini adalah Google, juga perlu memberi penjelasan keamanan sejak awal, apalagi untuk akun komersial. Informasi ini seharusnya dijelaskan lebih detail dan mudah dipahami sehingga pengguna dapat menerapkan langkah keamanan secara tetap.
Sering kali, isu-isu keamanan siber terjadi karena pengguna tak terlalu memahami cara kerja suatu sistem. Alhasil, metode pengamanan verifikasi berlapis tak dilakukan. Google semestinya dapat merancang verifikasi atau langkah keamanan melalui desain dan sistem bawaan (by default), bukan lagi bersifat opsional seperti sekarang.
”Karena dalam konteks mencerdaskan pengguna, model-model keamanan berdasarkan desain dan default itu penting, terutama di belahan dunia bagian selatan dengan literasi (digital) yang masih rendah. Kalau platform tak memastikan langkah keamanan, akan muncul kasus-kasus seperti ini,” tutur Wahyudi.
Baca juga: Marak di Batam dan Jabodetabek, Pusat Data Butuh Banyak Tenaga Kerja Terampil